احصل على نتائج تحليلات مباشرة من الخبراء في بودكاست التحليل الذكي للمخاطر من Microsoft. الاستماع الآن.
بودكاست CISO Insider: الإصدار الثالث
مرحباً بكم في الإصدار الثالث من سلسلة CISO Insider. أنا روب ليفيرتس وأقود فرق الهندسة في Microsoft Defender وSentinel. أطلقنا هذه السلسلة منذ عام تقريباً لمشاركة الأفكار من مناقشاتنا مع بعض زملائك وكذلك من أبحاثنا وخبراتنا في العمل على الخطوط الأمامية للأمان عبر الإنترنت.
تناولت أول قضيتين لدينا المخاطر المتصاعدة مثل برامج الفدية الضارة وكيفية استخدام قادة الأمن للأتمتة وفرص تحسين المهارات للمساعدة في الاستجابة بفعالية لهذه المخاطر وسط النقص المستمر في المواهب. مع مواجهة كبار مسؤولي تكنولوجيا المعلومات لمزيد من الضغوط للعمل بكفاءة في ظل حالة عدم اليقين الاقتصادي الحالية، يتطلع الكثيرون إلى تحسين استخدام الحلول المستندة إلى السحابة وخدمات الأمان المُدارة المتكاملة. في هذا الإصدار، نتناول الأولويات الأمنية الناشئة مع تحول المؤسسات إلى نموذج يركز على السحابة بشكل متزايد، حيث يجمع كل شيء في مجالها الرقمي بدءاً من الأنظمة المحلية وحتى أجهزة إنترنت الأشياء.
توفر السحابة العامة مكسباً للجانبين من الأمان الأساسي القوي بالإضافة إلى كفاءة التكلفة بالإضافة إلى الحوسبة القابلة للتطوير، ما يجعلها مورداً رئيسياً في وقت تشديد الميزانيات. ولكن مع هذه اللعبة الثلاثية تأتي الحاجة إلى "الانتباه إلى الفجوات" التي تنشأ في العلاقة بين السحابة العامة والسحابة الخاصة والأنظمة المحلية. ننظر إلى ما يفعله قادة الأمان لإدارة الأمان في المساحات الحدية بين الأجهزة المتصلة بالشبكة ونقاط النهاية والتطبيقات والسحابات والخدمات المدارة. أخيراً، سنلقي نظرة على تقنيتين تمثلان قمة هذا التحدي الأمني، وهما إنترنت الأشياء (IoT) وتكنولوجيا التشغيل (OT). إن التقارب بين هاتين التقنيتين المستقطبتين – إحداهما ناشئة والأخرى قديمة، وكلاهما تم إدخالهما إلى الشبكة بدون أمان مدمج كافٍ – ينتج عنه حافة مسامية بها ثغرات أمنية.
يتناول الإصدار الثالث أولويات الأمان الثلاث التي تتمحور حول السحابة:
السحابة آمنة؛ ولكن هل تدير بيئتك السحابية بشكل آمن؟
تسارع استخدام السحابة مع سعي المؤسسات إلى تحقيق كفاءات جديدة استجابة للقيود الاقتصادية ونقص المواهب. يثق مدراء تكنولوجيا المعلومات في الخدمات السحابية العامة لأمنهم الأساسي، ولكن السحابة آمنة بقدر قدرة العميل على إدارة الواجهة بين السحابة العامة والبنية التحتية الخاصة. ننظر في كيفية سد قادة الأمان الفجوة من خلال استراتيجية أمان سحابية قوية - على سبيل المثال، من خلال تأمين تطبيقاتهم السحابية وأحمال العمل باستخدام أدوات مثل إدارة الوضع السحابي والنظام الأساسي لحماية التطبيقات السحابية (CNAPP).
يبدأ وضع الأمان الشامل بالرؤية وينتهي بإدارة المخاطر ذات الأولوية.
مع الاعتماد السحابي المتسارع، يأتي انتشار الخدمات ونقاط النهاية والتطبيقات والأجهزة. بالإضافة إلى استراتيجية إدارة نقاط الاتصال السحابية المهمة، يدرك مدراء تكنولوجيا المعلومات الحاجة إلى قدر أكبر من الرؤية والتنسيق عبر بصمتهم الرقمية المتوسعة - وهي الحاجة إلى إدارة شاملة للموقف. ننظر في كيفية توسيع قادة الأمان نهجهم من منع الهجمات (الذي لا يزال أفضل دفاع، طالما أنه يعمل) إلى إدارة المخاطر من خلال أدوات شاملة لإدارة الموقف تساعد في جرد الأصول ونمذجة مخاطر الأعمال - وبالطبع الهوية والوصول. يتحكم.
اعتمد على الثقة المعدومة والنظافة لترويض البيئة شديدة التنوع والمترابطة شبكياً لإنترنت الأشياء & وتكنولوجيا التشغيل.
لا يزال النمو الهائل في أجهزة إنترنت الأشياء وتكنولوجيا التشغيل المتصلة يمثل تحديات أمنية - لا سيما بالنظر إلى صعوبة التوفيق بين التقنيات التي تعد مزيجاً من الأدوات السحابية الأصلية وأدوات الطرف الثالث والمعدات القديمة التي تم تحديثها من أجل الشبكات. من المتوقع أن يصل عدد أجهزة إنترنت الأشياء العالمية إلى 41.6 مليار بحلول عام 2025، مما يخلق مساحة هجوم موسعة للمهاجمين الذين يستخدمون مثل هذه الأجهزة كنقاط دخول للهجمات عبر الإنترنت. تميل هذه الأجهزة إلى أن تكون مستهدفة كثغرات أمنية في الشبكة. ربما قُدمت بشكل مخصص ورُبطت بشبكة تكنولوجيا المعلومات دون توجيه واضح من فريق الأمان؛ وطُورت بدون أمان أساسي من قبل طرف ثالث؛ أو خضعت إدارتها بشكل غير مناسب من قبل فريق الأمان بسبب تحديات مثل بروتوكولات الملكية ومتطلبات التوفر (OT). تعرف على عدد قادة تكنولوجيا المعلومات الذين يطورون الآن إستراتيجيتهم الأمنية لإنترنت الأشياء/تكنولوجيا التشغيل للتنقل في هذه الحافة المليئة بالفجوات.
السحابة آمنة؛ ولكن هل تدير بيئتك السحابية بشكل آمن؟
في وقت نقص المواهب وتشديد الميزانيات، تقدم السحابة العديد من الفوائد - كفاءة التكلفة، والموارد القابلة للتطوير بشكل لا نهائي، والأدوات المتطورة، وحماية البيانات الأكثر موثوقية مما يشعر معظم قادة الأمن أنه يمكنهم تحقيقه محلياً. في حين اعتاد مدراء تكنولوجيا المعلومات على رؤية الموارد السحابية على أنها مقايضة بين التعرض الأكبر للمخاطر وزيادة كفاءة التكلفة، فإن معظم قادة الأمن الذين نتحدث إليهم اليوم قد تبنوا السحابة باعتبارها الوضع الطبيعي الجديد. إنهم يثقون في الأمان الأساسي القوي للتكنولوجيا السحابية: يقول أحد مسؤولي أمان المعلومات: "أتوقع أن يكون مقدمو الخدمات السحابية منظمين فيما يتعلق بهويتهم وإدارة الوصول، وأمان أنظمتهم، وأمانهم المادي".
ولكن كما يدرك معظم قادة الأمان، فإن الأمان الأساسي للسحابة لا يضمن أمان بياناتك - وتعتمد حماية بياناتك في السحابة بشكل كبير على كيفية تنفيذ الخدمات السحابية جنباً إلى جنب مع الأنظمة المحلية والتكنولوجيا المحلية. تنشأ المخاطر في الفجوات بين السحابة والحدود التنظيمية التقليدية والسياسات والتقنيات المستخدمة لتأمين السحابة. تحدث التكوينات الخاطئة، ما يؤدي في كثير من الأحيان إلى ترك المؤسسات مكشوفة وتعتمد على فرق الأمان لتحديد الثغرات وسدها.
"يرجع عدد كبير من الخروقات إلى التكوين الخاطئ، أو تكوين شخص ما شيء ما بشكل خاطئ عن غير قصد، أو تغيير شيء يسمح بتسريب البيانات."
المرافق – مرفق المياه، 1390 موظفاً
بحلول عام 2023، سيكون سبب 75 بالمائة من انتهاكات أمان السحابة هو الإدارة غير الكافية للهويات والوصول والامتيازات، مقارنة بـ 50 بالمائة في عام 2020 (أكبر المخاطر في التكوين الخاطئ ونقاط الضعف في أمان السحابة: تقرير | CSO Online). لا يكمن التحدي في أمان السحابة نفسها، بل في النُهج والضوابط المستخدمة لتأمين الوصول. على حد تعبير رئيس أمناء خدمات الخدمات المالية، فإن "الأمان السحابي أمر جيد جداً إذا نُشر بشكل صحيح. السحابة نفسها ومكوناتها آمنة. لكنك تدخل في التكوين: هل أكتب الرمز الخاص بي بشكل صحيح؟ هل أعد موصلاتي عبر المؤسسة بشكل صحيح؟" قائد أمني آخر يلخص التحدي: "إن التكوين الخاطئ لتلك الخدمات السحابية هو ما يفتح الخدمات أمام ممثلي المخاطر." مع إدراك المزيد من قادة الأمان لمخاطر التكوين الخاطئ للسحابة، تحولت المحادثة حول أمان السحابة من "هل السحابة آمنة؟" إلى "هل أستخدم السحابة بشكل آمن؟"
ماذا يعني استخدام السحابة بشكل آمن؟ العديد من القادة الذين أتحدث إليهم يتعاملون مع استراتيجية الأمن السحابي من الألف إلى الياء، ويتعاملون مع الأخطاء البشرية التي تعرض المؤسسة للمخاطر مثل انتهاكات الهوية والتكوينات الخاطئة. يتماشى هذا مع توصياتنا أيضاً -لأن تأمين الهويات وإدارة الوصول إليها بشكل تكيفي أمر أساسي تماماً لأي استراتيجية أمان سحابية.
بالنسبة لأي شخص لا يزال على الحياد، ربما يكون هذا مفيداً: ذكرت شركة McAfee أن 70 بالمائة من السجلات المكشوفة - 5.4 مليار - تعرضت للاختراق بسبب الخدمات والبوابات التي كُونت بشكل خاطئ. إن إدارة الوصول من خلال ضوابط الهوية وتنفيذ النظافة الأمنية القوية يمكن أن تقطع شوطا طويلاً في سد الثغرات. وبالمثل، ذكرت شركة McAfee أن 70 بالمائة من السجلات المكشوفة - 5.4 مليار - تعرضت للاختراق بسبب الخدمات والبوابات التي كُونت بشكل خاطئ. إن إدارة الوصول من خلال ضوابط الهوية وتنفيذ النظافة الأمنية القوية يمكن أن تقطع شوطا طويلاً في سد الثغرات.
تتضمن استراتيجية الأمان السحابية القوية أفضل الممارسات التالية:
1. تنفيذ استراتيجية النظام الأساسي لحماية التطبيقات السحابية الأصلية (CNAPP) من البداية إلى النهاية: يمكن أن تؤدي إدارة الأمان باستخدام أدوات مجزأة إلى حدوث نقاط عمياء في الحماية وارتفاع التكاليف. وجود نظام أساسي شامل يمكّنك من تضمين الأمان من التعليمات البرمجية إلى السحابة أمر بالغ الأهمية لتقليل الجزء المعرض للهجوم السحابي بشكل عام وأتمتة الحماية من المخاطر. تتضمن استراتيجية CNAPP أفضل الممارسات التالية:
أ. إعطاء الأولوية للأمان منذ البداية في DevOps. يمكن أن يتراجع الأمان على جانب الطريق أثناء الاندفاع لتطوير التطبيقات السحابية. لدى المطورين حافز لحل مشكلة العمل بسرعة وقد يفتقرون إلى مهارات الأمان السحابي. نتيجة لذلك، يمكن أن تتكاثر التطبيقات دون قواعد ترخيص البيانات المناسبة. أصبحت واجهات برمجة التطبيقات هدفاً رئيسياً للمتسللين، حيث لا تستطيع المؤسسات غالباً تتبعها نظراً لمعدل تطوير التطبيقات السحابية. تحدد شركة Gartner "امتداد واجهات برمجة التطبيقات" (API) كمشكلة متنامية، وتتوقع أنه بحلول عام 2025، ستُدار أقل من نصف واجهات برمجة التطبيقات (APIs) الخاصة بالمؤسسات (Gartner). لذلك من الضروري تنفيذ إستراتيجية DevSecOps في أسرع وقت ممكن.
ب. تعزيز وضع الأمان السحابي وإصلاح التكوينات الخاطئة. التكوينات الخاطئة هي السبب الأكثر شيوعاً لانتهاكات السحابة - راجع أهم التكوينات الخاطئة لإعدادات مجموعة الأمان الأكثر شيوعاً لدى Cloud Security Alliance . في حين أن ترك موارد التخزين مفتوحة للعامة هو الخوف الأكثر شيوعاً الذي نسمعه، فإن مسؤولي أمان المعلومات يشيرون أيضاً إلى مجالات أخرى من الإهمال: تعطيل المراقبة والتسجيل، والأذونات المفرطة، والنسخ الاحتياطية غير المحمية، وما إلى ذلك. التشفير أداة تحوط مهمة ضد سوء الإدارة وهو أمر بالغ الأهمية لتقليل مخاطر برامج الفدية الضارة. توفر أدوات إدارة وضع الأمان السحابي خط دفاع آخر من خلال مراقبة الموارد السحابية بحثاً عن حالات التعرض والتكوينات الخاطئة قبل حدوث الاختراق، حتى تتمكن من تقليل سطح الهجوم بشكل استباقي.
ج. أتمتة الكشف والاستجابة وتحليل الحوادث. تحديد التكوينات الخاطئة وإصلاحها أمر رائع ولكننا نحتاج أيضاً إلى التأكد من أن لدينا الأدوات والعمليات اللازمة لاكتشاف الهجمات التي تتجاوز الدفاع. هذا هو المكان الذي يمكن أن تساعد فيه أدوات إدارة الكشف عن المخاطر والاستجابة.
ج. تمكن من إدارة الوصول بشكل صحيح. تساعد المصادقة متعددة العوامل، وتسجيل الدخول الموحد، والتحكم في الوصول المستند إلى الدور، وإدارة الأذونات، والشهادات في إدارة أكبر خطرين على أمان السحابة: المستخدم والخصائص الرقمية التي تم تكوينها بشكل خاطئ. الوصول الأقل هو أفضل ممارسة لإدارة استحقاق البنية التحتية السحابية (CIEM). يعتمد بعض القادة على إدارة الوصول إلى الهوية أو حل إدارة الاستحقاق لوضع ضوابط الأمان النشطة في مكانها الصحيح. يعتمد أحد قادة الخدمات المالية على وسيط أمان الوصول إلى السحابة (CASB) باعتباره "دعماً رئيسياً" لإدارة خدمات SaaS الخاصة بالمؤسسة والحفاظ على التحكم في المستخدمين والبيانات. يعمل CASB كوسيط بين المستخدمين والتطبيقات السحابية، ما يوفر الرؤية ويفرض إجراءات الحوكمة من خلال السياسات. backstop" لإدارة خدمات SaaS الخاصة بهم والحفاظ على التحكم في المستخدمين والبيانات. يعمل CASB كوسيط بين المستخدمين والتطبيقات السحابية، ما يوفر الرؤية ويفرض إجراءات الحوكمة من خلال النُهج.
لا يوفر النظام الأساسي لحماية التطبيقات السحابية الأصلية، مثل ذلك المقدم في Microsoft Defender for Cloud إمكانية الرؤية عبر الموارد السحابية المتعددة فحسب، بل يوفر أيضاً الحماية في جميع طبقات البيئة أثناء مراقبة التهديدات وربط التنبيهات بالحوادث التي تتكامل مع SIEM الخاص بك. يؤدي ذلك إلى تبسيط التحقيقات ومساعدة فرق SOC لديك على البقاء في صدارة التنبيهات عبر الأنظمة الأساسية.
إن القليل من الوقاية - سد فجوات الهوية والتكوين الخاطئ - إلى جانب الأدوات القوية للاستجابة للهجوم يقطع شوطاً طويلاً في تأمين البيئة السحابية بأكملها، بدءاً من شبكة الشركة ووصولاً إلى الخدمات السحابية.
يبدأ وضع الأمان الشامل بالرؤية وينتهي بإدارة المخاطر ذات الأولوية.
إن التحول إلى تكنولوجيا المعلومات المرتكزة على السحابة لا يعرض المؤسسة لفجوات التنفيذ فحسب، بل يعرض أيضاً مجموعة متكاثرة من الأصول المتصلة بالشبكة - الأجهزة والتطبيقات ونقاط النهاية - بالإضافة إلى أعباء العمل السحابية المكشوفة. يدير قادة الأمان وضعهم في هذه البيئة غير المحيطة باستخدام التقنيات التي توفر الرؤية والاستجابة ذات الأولوية. تساعد هذه الأدوات المؤسسات على تعيين مخزون الأصول الذي يغطي سطح الهجوم بالكامل، ويغطي الأجهزة المُدارة وغير المُدارة داخل شبكة المؤسسة وخارجها. باستخدام هذه الموارد، يستطيع مدراء أمان المعلومات تقييم وضع الأمان لكل أصل بالإضافة إلى دوره في الأعمال لتطوير نموذج المخاطر ذي الأولوية.
في محادثاتنا مع قادة الأمان، نشهد تطوراً من الأمان القائم على المحيط إلى نهج قائم على الموقف الأمني الذي يحتضن نظاماً بيئياً بلا حدود.
وكما قال أحد كبار مسؤولي أمان المعلومات: "بالنسبة لي، فإن الموقف يعود إلى الهوية.... نحن لا ننظر إلى الأمر على أنه الوضع التقليدي القديم حيث يكون المحيط، بل نحركه على طول الطريق حتى نقطة النهاية” (المرافق – مرفق المياه، 1390 موظفاً). "أصبحت الهوية هي المحيط الجديد،" يعلق أحد كبار مسؤولي أمان المعلومات في مجال التكنولوجيا المالية متسائلاً: "ماذا تعني الهوية في هذا النموذج الجديد الذي لا يوجد فيه خارج وداخل؟" (FinTech، 15000 موظف).
ونظرًا لهذه البيئة التي يسهل اختراقها، يفهم مدراء تكنولوجيا المعلومات مدى إلحاح الإدارة الشاملة للوضع - لكن الكثير منهم يتساءلون عما إذا كان لديهم الموارد والنضج الرقمي لوضع هذه الرؤية موضع التنفيذ. لحسن الحظ، من خلال مجموعة من أطر العمل التي أثبتت كفاءتها في الصناعة (التي تم تحديثها لتلبية احتياجات اليوم) والابتكار الأمني، أصبحت الإدارة الشاملة للموقف في متناول معظم المؤسسات.
احصل على أدوات في البنية التحتية الإلكترونية الخاصة بك والتي تتيح لك إجراء مخزون للأصول. ثانياً، انظر إلى أي من هذه الأجهزة يعتبر بالغ الأهمية، والذي يمثل أكبر خطر على المؤسسة وافهم ما هي نقاط الضعف المحتملة في هذه الأجهزة وقرر ما إذا كان هذا مقبولاً أم لا وهل أحتاج إلى تصحيحه أو عزله.
كين مالكولمسون، مستشار الأمان التنفيذي، Microsoft
فيما يلي بعض أفضل الممارسات والأدوات التي يستخدمها قادة الأمان لإدارة وضعهم في بيئة مفتوحة تركز على السحابة:
1. تحقيق رؤية شاملة من خلال مخزون الأصول.
الرؤية هي الخطوة الأولى في إدارة الموقف الشامل. ويتساءل مدراء أمان المعلومات: هل نعرف كل ما لدينا كخطوة أولى؟ هل لدينا رؤية قبل أن نتمكن من الوصول إلى الإدارة؟ يتضمن مخزون أصول المخاطر أصول تكنولوجيا المعلومات مثل الشبكات والتطبيقات وقواعد البيانات والخوادم والخصائص السحابية وخصائص إنترنت الأشياء، بالإضافة إلى البيانات وأصول IP المخزنة على هذه البنية التحتية الرقمية. تتضمن معظم الأنظمة الأساسية، مثل Microsoft 365 أو Azure، أدوات مخزون الأصول المضمنة التي يمكن أن تساعدك على البدء.
الرؤية هي الخطوة الأولى في إدارة الموقف الشامل. ويتساءل مدراء أمان المعلومات: هل نعرف كل ما لدينا كخطوة أولى؟ هل لدينا رؤية قبل أن نتمكن من الوصول إلى الإدارة؟ يتضمن مخزون أصول المخاطر أصول تكنولوجيا المعلومات مثل الشبكات والتطبيقات وقواعد البيانات والخوادم والخصائص السحابية وخصائص إنترنت الأشياء، بالإضافة إلى البيانات وأصول IP المخزنة على هذه البنية التحتية الرقمية. تتضمن معظم الأنظمة الأساسية، مثل Microsoft 365 أو Azure، أدوات مخزون الأصول المضمنة التي يمكن أن تساعدك على البدء.
2. تقييم الثغرات الأمنية وتحليل المخاطر.
بمجرد أن يكون لدى المؤسسة مخزون شامل للأصول، فمن الممكن تحليل المخاطر فيما يتعلق بكل من الثغرات الأمنية الداخلية والمخاطر الخارجية. تعتمد هذه الخطوة بشكل كبير على السياق وهي فريدة لكل مؤسسة - ويعتمد تقييم المخاطر الموثوق به على شراكة قوية بين فرق الأمان وتكنولوجيا المعلومات والبيانات. يستفيد هذا الفريق متعدد الوظائف من أدوات تسجيل المخاطر وتحديد الأولويات تلقائيًا في تحليلاته - على سبيل المثال، أدوات تحديد أولويات المخاطر المدمجة في Microsoft Entra ID وMicrosoft Defender XDR وMicrosoft 365. قد تشتمل أيضاً تقنيات تسجيل المخاطر وتحديد الأولويات الآلية على إرشادات الخبراء لمعالجة الثغرات بالإضافة إلى المعلومات السياقية للاستجابة الفعالة للمخاطر.
بمجرد أن يكون لدى المؤسسة مخزون شامل للأصول، فمن الممكن تحليل المخاطر فيما يتعلق بكل من الثغرات الأمنية الداخلية والمخاطر الخارجية. تعتمد هذه الخطوة بشكل كبير على السياق وهي فريدة لكل مؤسسة - ويعتمد تقييم المخاطر الموثوق به على شراكة قوية بين فرق الأمان وتكنولوجيا المعلومات والبيانات. يستفيد هذا الفريق متعدد الوظائف من أدوات تسجيل المخاطر وتحديد الأولويات تلقائيًا في تحليلاته - على سبيل المثال، أدوات تحديد أولويات المخاطر المدمجة في Microsoft Entra ID وMicrosoft Defender XDR وMicrosoft 365. قد تشتمل أيضاً تقنيات تسجيل المخاطر وتحديد الأولويات الآلية على إرشادات الخبراء لمعالجة الثغرات بالإضافة إلى المعلومات السياقية للاستجابة الفعالة للمخاطر.
3. تحديد أولويات المخاطر والاحتياجات الأمنية من خلال نمذجة مخاطر الأعمال.
من خلال الفهم الواضح لمشهد المخاطر، يمكن للفرق الفنية العمل مع قادة الأعمال لتحديد أولويات التدخلات الأمنية فيما يتعلق باحتياجات العمل. ضع في حسبانك دور كل أصل، وقيمته بالنسبة للأعمال، والمخاطر التي تتعرض لها الأعمال إذا تعرضت لاختراق وطرح أسئلة مثل، "ما مدى حساسية هذه المعلومات وما هو تأثير تعرض الأعمال لها؟" أو "ما مدى أهمية هذه الأنظمة للمهام - ما هو تأثير التوقف عن العمل على الأعمال؟" تقدم Microsoft أدوات لدعم التحديد الشامل وترتيب أولويات الثغرات الأمنية وفقاً لنمذجة مخاطر الأعمال، بما في ذلك Microsoft Secure Score وMicrosoft Compliance Score وAzure Secure Score وإدارة الأجزاء المعرضة للهجوم الخارجية في Microsoft Defender وإدارة الثغرات الأمنية في Microsoft Defender.
من خلال الفهم الواضح لمشهد المخاطر، يمكن للفرق الفنية العمل مع قادة الأعمال لتحديد أولويات التدخلات الأمنية فيما يتعلق باحتياجات العمل. ضع في حسبانك دور كل أصل، وقيمته بالنسبة للأعمال، والمخاطر التي تتعرض لها الأعمال إذا تعرضت لاختراق وطرح أسئلة مثل، "ما مدى حساسية هذه المعلومات وما هو تأثير تعرض الأعمال لها؟" أو "ما مدى أهمية هذه الأنظمة للمهام - ما هو تأثير التوقف عن العمل على الأعمال؟" تقدم Microsoft أدوات لدعم التحديد الشامل وترتيب أولويات الثغرات الأمنية وفقاً لنمذجة مخاطر الأعمال، بما في ذلك Microsoft Secure Score وMicrosoft Compliance Score وAzure Secure Score وإدارة الأجزاء المعرضة للهجوم الخارجية في Microsoft Defender وإدارة الثغرات الأمنية في Microsoft Defender.
4. إنشاء استراتيجية لإدارة الوضع.
يشكل مخزون الأصول وتحليل المخاطر ونموذج مخاطر الأعمال الأساس لإدارة شاملة للوضع. تساعد هذه الرؤية ونتيجة التحليلات فريق الأمان على تحديد أفضل السبل لتخصيص الموارد، وما هي إجراءات التعزيز التي يجب تطبيقها، وكيفية تحسين المفاضلة بين المخاطر وسهولة الاستخدام لكل جزء من الشبكة.
يشكل مخزون الأصول وتحليل المخاطر ونموذج مخاطر الأعمال الأساس لإدارة شاملة للوضع. تساعد هذه الرؤية ونتيجة التحليلات فريق الأمان على تحديد أفضل السبل لتخصيص الموارد، وما هي إجراءات التعزيز التي يجب تطبيقها، وكيفية تحسين المفاضلة بين المخاطر وسهولة الاستخدام لكل جزء من الشبكة.
توفر حلول إدارة الوضع إمكانية الرؤية وتحليل نقاط الضعف لمساعدة المؤسسات على فهم مكان تركيز جهود تحسين الوضعية. من خلال نتيجة التحليل، يمكنهم تحديد المناطق المهمة وتحديد أولوياتها في الجزء المعرض للهجوم.
اعتمد على الثقة المعدومة والنظافة لترويض البيئة شديدة التنوع والمترابطة شبكياً لإنترنت الأشياء وتكنولوجيا التشغيل
إن التحديين اللذين ناقشناهما - فجوة تنفيذ السحابة وانتشار الأجهزة المتصلة بالسحابة - يخلقان عاصفة كاملة من المخاطر في بيئات أجهزة إنترنت الأشياء وتكنولوجيا التشغيل. بالإضافة إلى الخطر الكامن المتمثل في توسيع الأجزاء المعرضة للهجوم التي تقدمها أجهزة إنترنت الأشياء وتكنولوجيا التشغيل، أخبرني قادة الأمان أنهم يحاولون ترشيد التقارب بين إنترنت الأشياء الناشئ واستراتيجيات تكنولوجيا التشغيل القديمة. قد يكون إنترنت الأشياء سحابياً أصلياً، ولكن هذه الأجهزة تعطي الأولوية في كثير من الأحيان لنفعية الأعمال على الأمن الأساسي؛ تميل تكنولوجيا التشغيل إلى أن تكون معدات قديمة يديرها البائع ومطورة دون الحاجة إلى الأمان الحديث ومقدمة بشكل مخصص على شبكة تكنولوجيا المعلومات الخاصة بالمؤسسة.
تساعد أجهزة إنترنت الأشياء وتكنولوجيا التشغيل المؤسسات على تحديث مساحات العمل، والاعتماد بشكل أكبر على البيانات، وتخفيف المتطلبات على الموظفين من خلال التحولات الإستراتيجية مثل الإدارة عن بعد والأتمتة. تشير تقديرات مؤسسة البيانات الدولية (IDC) إلى أنه سيكون هناك 41.6 مليار جهاز متصل بإنترنت الأشياء بحلول عام 2025، وهو معدل نمو يتجاوز معدل نمو أجهزة تكنولوجيا المعلومات التقليدية.
ولكن مع هذه الفرصة تأتي مخاطر كبيرة. ناقش تقرير الإشارات عبر الإنترنت الصادر في ديسمبر 2022، بعنوان أوجه الشبه بين تكنولوجيا المعلومات وتكنولوجيا التشغيل، المخاطر التي تهدد البنية التحتية الحيوية التي تشكلها هذه التقنيات.
تتضمن الاستنتاجات الأساسية:
1. 75% من وحدات التحكم الصناعية الأكثر شيوعاً في شبكات تكنولوجيا التشغيل للعملاء بها ثغرات أمنية عالية الخطورة وغير مُصححة.
2. ومن عام 2020 إلى عام 2022، كانت هناك زيادة بنسبة 78% في الإفصاحات عن الثغرات الأمنية عالية الخطورة في معدات التحكم الصناعية التي ينتجها البائعون المشهورون.
3. تعمل العديد من الأجهزة المرئية بشكل عام على الإنترنت على تشغيل برامج غير مدعومة. على سبيل المثال، لا يزال برنامج Boa القديم يُستخدم على نطاق واسع في أجهزة إنترنت الأشياء ومجموعات تطوير البرامج (SDKs).
غالباً ما تمثل أجهزة إنترنت الأشياء الحلقة الأضعف في المجال الرقمي. نظراً لعدم إدارتها أو تحديثها أو تصحيحها بنفس الطريقة المتبعة في أجهزة تكنولوجيا المعلومات التقليدية، فإنها يمكن أن تكون بمثابة بوابة ملائمة للمهاجمين الذين يسعون إلى التسلل إلى شبكة تكنولوجيا المعلومات. بمجرد الوصول إليها، تصبح أجهزة إنترنت الأشياء عرضة لعمليات تنفيذ التعليمات البرمجية عن بعد. يمكن للمهاجم التحكم في الثغرات الأمنية واستغلالها لزرع شبكات الروبوت أو البرامج الضارة في جهاز إنترنت الأشياء. عند هذه النقطة، يمكن للجهاز أن يكون بمثابة باب مفتوح للشبكة بأكملها.
تشكل أجهزة تكنولوجيا التشغيل خطراً أكثر صعوبة حيث يكون الكثير منها حاسماً لتشغيل المنظمة. نظراً لكونها غير متصلة بالإنترنت أو معزولة فعلياً عن شبكة تكنولوجيا المعلومات الخاصة بالشركة، تُدمج شبكات تكنولوجيا التشغيل بشكل متزايد مع أنظمة تكنولوجيا المعلومات وإنترنت الأشياء. وجدت دراستنا التي أجريناها في نوفمبر 2021 بالتعاون مع معهد بونيمون، حول حالة الأمان عبر الإنترنت الأشياء/تكنولوجيا التشغيل في المؤسسات، أن أكثر من نصف شبكات تكنولوجيا التشغيل متصلة الآن بشبكات تكنولوجيا المعلومات (الأعمال) الخاصة بالشركات. تمتلك نسبة مماثلة من الشركات – 56 بالمائة – أجهزة متصلة بالإنترنت على شبكة تكنولوجيا التشغيل الخاصة بها لسيناريوهات مثل الوصول عن بعد.
"بدأ كل هجوم شهدناه في العام الماضي تقريباً من الوصول الأولي إلى شبكة تكنولوجيا المعلومات التي تم الاستفادة منها في بيئة تكنولوجيا التشغيل."
ديفيد أتش، التحليل الذكي للمخاطر من Microsoft، رئيس قسم أبحاث أمان إنترنت الأشياء/تكنولوجيا التشغيل
يُعرِّض اتصال تكنولوجيا التشغيل المؤسسات لخطر التعطل الكبير ووقت التوقف عن العمل في حالة وقوع هجوم. غالباً ما تكون تكنولوجيا التشغيلي جزءاً أساسياً من الأعمال، حيث توفر للمهاجمين هدفاً جذاباً يمكنهم استغلاله لإحداث أضرار كبيرة. يمكن أن تكون الأجهزة نفسها أهدافاً سهلة، لأنها غالباً ما تشتمل على معدات عتيقة أو قديمة غير آمنة حسب التصميم، وتسبق الممارسات الأمنية الحديثة، وقد تحتوي على بروتوكولات خاصة لا يمكن رؤيتها بواسطة أدوات مراقبة تكنولوجيا المعلومات القياسية. يميل المهاجمون إلى استغلال هذه التقنيات من خلال اكتشاف الأنظمة المكشوفة التي تواجه الإنترنت، أو الوصول إليها من خلال بيانات اعتماد تسجيل دخول الموظفين، أو استغلال الوصول الممنوح للموردين والمقاولين الخارجيين. تعد بروتوكولات ICS غير الخاضعة للمراقبة إحدى نقاط الدخول الشائعة للهجمات الخاصة بتكنولوجيا التشغيل (تقرير الدفاع الرقمي من Microsoftلعام 2022).
لمواجهة التحدي الفريد المتمثل في إدارة أمن إنترنت الأشياء وتكنولوجيا التشغيل عبر هذه السلسلة المترابطة من الأجهزة المختلفة المتصلة بطرق مختلفة بشبكة تكنولوجيا المعلومات، يتبع قادة الأمان أفضل الممارسات التالية:
1. تحقيق رؤية شاملة للجهاز.
فهم جميع الأصول الموجودة لديك في الشبكة، وكيفية ترابط كل شيء، ومخاطر الأعمال والتعرض لها في كل نقطة اتصال أساس بالغ الأهمية لإدارة إنترنت الأشياء/تكنولوجيا التشغيل بشكل فعال. يمكن أن يساعدك أيضاً حل كشف الشبكة والاستجابة لها (NDR) المدرك لـ إنترنت الأشياء وتكنولوجيا التشغيل وSIEM مثل Microsoft Sentinel في منحك رؤية أعمق لأجهزة IoT/OT على شبكتك ومراقبتها بحثاً عن السلوكيات الشاذة مثل الاتصال مع مضيفين غير مألوفين. (لمزيد من المعلومات حول إدارة بروتوكولات ICS المكشوفة في تكنولوجيا التشغيل، راجع "المخاطر الأمنية الفريدة لأجهزة إنترنت الأشياء" الأمان في Microsoft).
فهم جميع الأصول الموجودة لديك في الشبكة، وكيفية ترابط كل شيء، ومخاطر الأعمال والتعرض لها في كل نقطة اتصال أساس بالغ الأهمية لإدارة إنترنت الأشياء/تكنولوجيا التشغيل بشكل فعال. يمكن أن يساعدك أيضاً حل كشف الشبكة والاستجابة لها (NDR) المدرك لـ إنترنت الأشياء وتكنولوجيا التشغيل وSIEM مثل Microsoft Sentinel في منحك رؤية أعمق لأجهزة IoT/OT على شبكتك ومراقبتها بحثاً عن السلوكيات الشاذة مثل الاتصال مع مضيفين غير مألوفين. (لمزيد من المعلومات حول إدارة بروتوكولات ICS المكشوفة في تكنولوجيا التشغيل، راجع "المخاطر الأمنية الفريدة لأجهزة إنترنت الأشياء" الأمان في Microsoft).
2. تقسيم الشبكات وتطبيق مبادئ الثقة المعدومة.
حيثما أمكن، يمكنك تقسيم الشبكات لمنع الحركة الجانبية في حالة وقوع هجوم. يجب أن تكون أجهزة إنترنت الأشياء وشبكات تكنولوجيا التشغيل مُبعدة أو معزولة عن شبكة تكنولوجيا المعلومات الخاصة بالشركة من خلال جدران الحماية. مع ذلك، من المهم أيضاً أن تفترض أن تكنولوجيا التشغيل وتكنولوجيا المعلومات الخاصة بك متقاربتان وتقومان ببناء بروتوكولات الثقة المعدومة عبر سطح الهجوم. على نحو متزايد، تجزئة الشبكة ليست ممكنة. بالنسبة للمؤسسات الخاضعة للتنظيم مثل الرعاية الصحية والمرافق والتصنيع، على سبيل المثال، اتصال OT-IT أمر أساسي لوظيفة الأعمال - خذ على سبيل المثال، أجهزة تصوير الثدي بالأشعة السينية أو التصوير بالرنين المغناطيسي الذكي المتصل بأنظمة السجلات الصحية الإلكترونية (EHR)؛ خطوط تصنيع ذكية أو تنقية مياه تتطلب مراقبة عن بعد. في هذه الحالات، الثقة المعدومة حاسمة.
حيثما أمكن، يمكنك تقسيم الشبكات لمنع الحركة الجانبية في حالة وقوع هجوم. يجب أن تكون أجهزة إنترنت الأشياء وشبكات تكنولوجيا التشغيل مُبعدة أو معزولة عن شبكة تكنولوجيا المعلومات الخاصة بالشركة من خلال جدران الحماية. مع ذلك، من المهم أيضاً أن تفترض أن تكنولوجيا التشغيل وتكنولوجيا المعلومات الخاصة بك متقاربتان وتقومان ببناء بروتوكولات الثقة المعدومة عبر سطح الهجوم. على نحو متزايد، تجزئة الشبكة ليست ممكنة. بالنسبة للمؤسسات الخاضعة للتنظيم مثل الرعاية الصحية والمرافق والتصنيع، على سبيل المثال، اتصال OT-IT أمر أساسي لوظيفة الأعمال - خذ على سبيل المثال، أجهزة تصوير الثدي بالأشعة السينية أو التصوير بالرنين المغناطيسي الذكي المتصل بأنظمة السجلات الصحية الإلكترونية (EHR)؛ خطوط تصنيع ذكية أو تنقية مياه تتطلب مراقبة عن بعد. في هذه الحالات، الثقة المعدومة حاسمة.
3. توظيف نظافة إدارة أمان إنترنت الأشياء/تكنولوجيا التشغيل.
يمكن للفرق الأمنية سد الثغرات من خلال بعض ممارسات النظافة الأساسية مثل:
يمكن للفرق الأمنية سد الثغرات من خلال بعض ممارسات النظافة الأساسية مثل:
- القضاء إزالة المنافذ المفتوحة واتصالات الإنترنت غير الضرورية أو منع الوصول عن بُعد، واستخدام خدمات VPN
- إدارة أمان الجهاز من خلال تطبيق التصحيحات وتغيير كلمات المرور والمنافذ الافتراضية
- التأكد من عدم تعرض بروتوكولات ICS مباشرة إلى الإنترنت
للحصول على إرشادات قابلة للتنفيذ حول كيفية تحقيق هذا المستوى من الرؤية والإدارة، راجع "المخاطر الفريدة لأجهزة إنترنت الأشياء/تكنولوجيا التشغيل” Microsoft Security Insider.
نتائج التحليلات القابلة للتنفيذ
1. استخدم حل الكشف عن الشبكة والاستجابة لها (NDR) المدرك لـ إنترنت الأشياء/تكنولوجيا التشغيل ومعلومات الأمان وإدارة الأحداث (SIEM)/حل التنسيق والاستجابة الأمنية (SOAR) للحصول على رؤية أعمق لأجهزة إنترنت الأشياء/تكنولوجيا التشغيل على شبكتك، ومراقبة الأجهزة السلوكيات الشاذة أو غير المصرح بها، مثل التواصل مع مضيفين غير مألوفين
2. يمكنك حماية المحطات الهندسية من خلال المراقبة باستخدام حلول الكشف عن نقاط النهاية والاستجابة لها (EDR)
3. قلل مساحة الجزء المعرض للهجوم عن طريق القضاء إزالة المنافذ المفتوحة واتصالات الإنترنت غير الضرورية، وتقييد الوصول عن بُعد عن طريق حظر المنافذ، ومنع الوصول عن بُعد، واستخدام خدمات VPN
4. التأكد من عدم تعرض بروتوكولات ICS مباشرة إلى الإنترنت
5. قسّم الشبكات للحد من قدرة المهاجم على التحرك بشكل جانبي وتعريض الأصول للخطر بعد التطفل الأولي. يجب عزل أجهزة إنترنت الأشياء وشبكات تكنولوجيا التشغيل عن شبكات تكنولوجيا المعلومات الخاصة بالشركات من خلال جدران الحماية
6. تأكد من أن الأجهزة قوية من خلال تطبيق التصحيحات وتغيير كلمات المرور الافتراضية والمنافذ
7. افترض أن تكنولوجيا التشغيل وتكنولوجيا المعلومات الخاصة بك متقاربتان وأنشئنا بروتوكولات الثقة المعدومة في سطح الهجوم بهما
8. ضمان التوافق التنظيمي بين تكنولوجيا التشغيل وتكنولوجيا المعلومات من خلال تعزيز الرؤية وتكامل الفريق
9. اتبع دائماً أفضل الممارسات الأمنية لإنترنت الأشياء/التكنولوجيا بناءً على معلومات المخاطر الأساسية
بينما يغتنم قادة الأملن الفرصة لتبسيط ممتلكاتهم الرقمية وسط تصاعد المخاطر والضغوط لأداء المزيد بموارد أقل، تظهر السحابة كأساس لاستراتيجية الأمان الحديثة. كما رأينا، فإن فوائد النهج المرتكز على السحابة تفوق المخاطر إلى حد كبير - خاصة بالنسبة للمؤسسات التي تستخدم أفضل الممارسات لإدارة بيئاتها السحابية من خلال استراتيجية أمان سحابية قوية، وإدارة شاملة للوضع، وتكتيكات محددة لسد الثغرات على حافة إنترنت الأشياء/ تكنولوجيا التشغيل.
تطلع إلى الإصدار التالي لمزيد من التحليلات ونتائج التحليلات الأمنية. شكراً لقراءة CISO Insider!
للحصول على إرشادات قابلة للتنفيذ حول كيفية تحقيق هذا المستوى من الرؤية والإدارة، راجع "المخاطر الفريدة لأجهزة إنترنت الأشياء/تكنولوجيا التشغيل” Microsoft Security Insider.
تستخدم جميع أبحاث Microsoft المذكورة شركات أبحاث مستقلة للاتصال بمتخصصي الأمان لإجراء الدراسات الكمية والنوعية، مما يضمن حماية الخصوصية والدقة التحليلية. إن الاقتباسات والنتائج الواردة في هذا المستند، ما لم يُنص على خلاف ذلك، هي نتيجة لدراسات بحثية أجرتها شركة Microsoft.
متابعة Microsoft